Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce file di test, script e procedure per illustrare le regole di riduzione della superficie di attacco in Microsoft Defender per endpoint.
Le regole ASR sono destinate al comportamento software rischioso nei dispositivi Windows che gli utenti malintenzionati sfruttano comunemente tramite malware (ad esempio, l'avvio di script che scaricano file, l'esecuzione di script offuscati e l'inserimento di codice in altri processi). Per altre informazioni sulle regole asr, vedere Panoramica delle regole di riduzione della superficie di attacco .
Prerequisiti
- Windows 10 versione 1709 (ottobre 2017) o successiva.
- Windows Server 2012 R2 o versioni successive.
- Windows Server 2012 R2 e Windows Server 2016 richiedono la funzionalità nella soluzione unificata moderna.
- Azure Localee (in precedenza noto come sistema operativo Azure Stack hyper-converged infrastructure (HCI)) versione 23H2 o successiva.
- Scaricare ed estrarre gli script di PowerShell per la riduzione della superficie di attacco
Comandi PowerShell
Per abilitare tutte le regole asr disponibili, eseguire il comando seguente in una finestra di PowerShell con privilegi elevati (finestra di PowerShell aperta dopo aver selezionato Esegui come amministratore):
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,AuditMode,AuditMode
I nomi delle regole ASR e i valori GUID associati sono elencati nella sezione File di test .
Verificare la configurazione
Per verificare lo stato delle regole asr, eseguire il comando seguente in una finestra di PowerShell con privilegi elevati:
$p = Get-MpPreference
$ids = @($p.AttackSurfaceReductionRules_Ids)
$actions = @($p.AttackSurfaceReductionRules_Actions)
for ($i = 0; $i -lt [Math]::Min($ids.Count, $actions.Count); $i++) {
[pscustomobject]@{
RuleId = $ids[$i]
Action = $actions[$i]
}
}
Gli stati delle regole disponibili sono descritti nella tabella seguente:
| Modalità | Testo valore |
Numerico valore |
|---|---|---|
| Disattivato | Disabilitato | 0 |
| Abilitato in modalità blocco | Abilitato | 1 |
| Abilitato in modalità di controllo | AuditMode | 2 |
| Non configurata | NotConfigured | 5 |
| Abilitato in modalità di avviso | Avvertire | 6 |
File di test
Nella tabella seguente i nomi delle regole asr vengono associati ai valori GUID corrispondenti.
Consiglio
I collegamenti al nome della regola sono collegamenti ai file di test disponibili. Alcuni file di test contengono più exploit che attivano più regole asr.
I collegamenti ai valori GUID sono collegamenti ai dettagli della regola.
Scenari
Configurazione
Eseguire il comando seguente in una finestra di PowerShell con privilegi elevati per impostare i criteri di esecuzione su Senza restrizioni:
Set-ExecutionPolicy UnrestrictedScaricare, estrarre ed eseguire questo script di installazione.
In alternativa, è possibile eseguire i passaggi manuali seguenti:
- Creare la cartella C:\Demo.
- Salvare questo file pulito in C:\Demo.
- Abilitare tutte le regole usando il comando di PowerShell.
Scenario 1: la riduzione della superficie di attacco blocca un file di test con più vulnerabilità
- Abilitare tutte le regole in modalità blocco usando il comando di PowerShell.
- Scaricare e aprire i file/documenti di test. Se richiesto, abilitare la modifica e il contenuto.
Risultato previsto:
Verrà visualizzata immediatamente una notifica "Azione bloccata".
Scenario 2: la regola ASR blocca il file di test con la vulnerabilità corrispondente
Configurare la singola regola da testare. Ad esempio, per abilitare la regola Blocca la creazione di processi figlio per tutte le applicazioni di Office , eseguire il comando seguente in una finestra di PowerShell con privilegi elevati:
Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions EnabledScaricare e aprire il file/documento di test per la regola da testare. Se richiesto, abilitare la modifica e il contenuto. Ad esempio:
Impedire a tutte le applicazioni di Office di creare processi figlio
Risultato previsto:
Verrà visualizzata immediatamente una notifica "Azione bloccata".
Scenario 3: la regola ASR blocca l'esecuzione di file non attendibili dalle unità USB
Consiglio
Questa regola asr è disponibile in Windows 10 versione 1709 (ottobre 2017) o successiva.
Abilitare la regola Blocca processi non attendibili e non firmati eseguiti dalla regola ASR USB eseguendo il comando seguente in una finestra di PowerShell con privilegi elevati:
Add-MpPreference -AttackSurfaceReductionRules_Ids b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 -AttackSurfaceReductionRules_Actions EnabledScaricare il file seguente in un'unità USB (direttamente o copiarlo nell'unità USB dopo il download altrove):
Eseguire il file dall'unità USB.
Risultato previsto:
Verrà visualizzata immediatamente una notifica "Azione bloccata".
Scenario 4: Cosa accadrebbe senza riduzione della superficie di attacco
Disattivare tutte le regole di riduzione della superficie di attacco usando il comando PowerShell nella sezione Pulizia .
Scaricare qualsiasi file/documento di test. Se richiesto, abilitare la modifica e il contenuto.
Risultato previsto:
- I file in C:\Demo sono crittografati ed è necessario ricevere un messaggio di avviso.
- Eseguire di nuovo il file di test per decrittografare i file.
Pulizia
Scaricare, estrarre ed eseguire questo script di pulizia.
In alternativa, è possibile eseguire il comando seguente in una finestra di PowerShell con privilegi elevati per disabilitare tutte le regole asr:
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled
Pulire la crittografia C:\Demo eseguendo il file di crittografia/decrittografia.